Técnicas de truncado de datos de tarjeta en entornos PCI DSS


Con el objetivo de minimizar el esfuerzo de implantación de PCI DSS en un entorno dónde se procesan datos de tarjetas, una de las premisas más importantes que nos planteamos es la reducción de dicho entorno. Para ello, una de las técnicas que podemos utilizar es la del truncado de los datos de tarjeta en su almacenamiento.

Muchas entidades tienen tendencia a almacenar el PAN (Primary Account Number) de las transacciones realizadas para fines históricos, o para mantener una correcta trazabilidad de las mismas. El problema en estos casos es que, al almacenar el PAN entero en una BBDD o sistema de almacenamiento, el entorno PCI DSS de nuestra entidad se expande hasta dicha localización, cuando por justificación de negocio, sería suficiente con almacenar una parte sesgada de dichos datos PAN.

En estos casos, es cuando la opción de utilizar el truncado de los datos de tarjeta destaca como una de las opciones más recomendables. Esta técnica, se basa en almacenar solo una parte del PAN, con fines históricos o de trazabilidad, pero sin permitir al atacante que pueda llegar a deducir el PAN completo de la transacción a través del uso de técnicas computacionales simples.

Para aplicar un correcto truncado del PAN, el formato máximo de dígitos del mismo que es posible almacenar sin que el estándar PCI DSS nos afecte en dicha ubicación, es el de los 6 primeros dígitos (que se corresponden con el BIN (Bank Identification number)) y los 4 últimos dígitos (como ID de la transacción realizada) del mismo.

Puede consultarse más detalle sobre los formatos de truncado de PAN aceptables según los diferentes criterios establecidos por las marcas de tarjetas en la tabla siguiente:






































Podemos ver un ejemplo de dicha técnica en la figura siguiente, dónde a partir de unos datos de entrada con un PAN completo, pasamos a almacenar el PAN truncado, evitando de esta manera la aplicación del estándar PCI DSS en la ubicación dónde se almacenen dichos datos, siempre y cuando que dicha ubicación se encuentre segmentada del entorno de tratamiento del PAN completo, y no se vea “contaminada” por otros aspectos de seguridad secundarios.

Por último, es importante destacar que, aunque dicha técnica permita la reducción de nuestro entorno de cumplimiento PCI DSS, tenemos que garantizar que un atacante no va a ser capaz de deducir información sensible en base a la información almacenada en las BBDD dónde se encuentra el PAN truncado. Esto conlleva a que según el estándar PCI DSS, no sea viable almacenar el PAN truncado y el hash de ese mismo PAN en una misma ubicación, sin que esta esté sujeta el alcance de dicho estándar de seguridad, ya que se considera que, con un mínimo de lógica computacional, un atacante podría llegar a deducir un PAN entero a través de la suma de dichos datos.

Si se tiene en cuenta este aspecto, la técnica de truncado de PAN puede llegar a ser muy útil en nuestra entidad, para minimizar nuestro esfuerzo de cumplimiento con el estándar PCI DSS.

Bibliografía
https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/What-are-acceptable-formats-for-truncation-of-primary-account-numbers

Autor: Guillem Fàbregas Margenats
CISSP, CISSP Instructor, CISA, CISM, CRISC, PCI QSA, PCIP, ISO 27001 L.A.
Dpto. Consultoría Barcelona

No hay comentarios:

Publicar un comentario